[정보보안 정리] 네트워크 - 프로토콜 및 OSI 7계층

*프로토콜(Protocol)

: 시스템 간에 통신을 하기 위한 규약

-구문, 의미, 타이밍

-구문 : 송수신 데이터 포맷

-의미 : 데이터 각 항목이 가지는 의미

-타이밍 : 데이터 송수신 동작방식 정의

 

---

 

*OSI 7 Layer

: 국제 표준화 기구(ISO)에서 제정한 개방형 시스템간의 상호연결 모델

-Node : 네트워크에 연결된 장치 (ex.라우터, 스위치, 허브, 컴퓨터)

-Host : 일반적으로 노드 중 컴퓨터 노드

-End-Node : 양 끝단에 해당되는 노드

-Intermediate Node : End-Node 사이에 패킷 중계를 해주는 노드

-Link : 노드 사이의 패킷 전달을 위한 물리적인 통신경로

 

---

 

*Physical Layer(물리 계층)

: 물리적 장치의 전기적, 전자적 연결

-디지털 데이터를 전기적, 광학적인 신호로 변환하여 입출력 담당

-주소 정보X

-목적지 인식 불가, 전기적 신호만 연결된 모든 노드에 전달

-데이터 단위 : 비트(bit)

 

-주요 네트워크 장비

(1) Hub(허브) : 들어온 신호를 연결된 모든 포트로 전달하는 중계 장치 (Dummy Hub)

(2) Repeater(리피터) : 감쇠된 전송신호를 새롭게 재생하여 다시 전달하는 재생 중계 장치

 

-더미 허브에서의 스니핑(Sniffing)

• Host-A 에서 Host-C로 패킷 전송(C) 시 연결된 모든 노드로 패킷 C가 전송
• Host-C 제외 이를 수신한 호스트들은 자신에게 온 패킷이 아니므로 폐기

(1) 더미허브는 전달받은 패킷을 연결된 모든 노드로 전송하므로 스니퍼를 통한 스니핑 용이

• 스니핑 : 네트워크 중간에서 패킷을 도청하는 행위 ( ex.스니퍼 : Wireshark, Tcpdump )
• 네트워크 카드(NIC)의 기본 동작모드가 자신을 목적지 주소로 하는 패킷이 아니면 모두 폐기하므로, 패킷을 볼 수 있는 것은 아님
• 네트워크 카드(NIC) 동작 모드를 무차별 모드(Promiscuous Mode)로 설정시, 자신이 목적지가 아닌 패킷 모두 수신 (스니핑)

 

---

 

*Data Link Layer(데이터링크 계층)

https://www.faceprep.in/computer-networks/computer-networks-osi-layers/

: 인접한 노드간의 신뢰성 있는 프레임 전송을 담당. Node-To-Node Delivery

-인접 노드간의 통신이며 최종 목적지에 도달하기 위해서는 각각의 노드 간에 프레임에 대한 주소설정(MAC) 이루어짐

-목적지 노드를 찾기 위해 목적지 노드에 대한 물리적인 주소 필요, NIC의 MAC주소가 해당 역할 수행

-IEEE 802 표준에선 LAN 상의 데이터링크 계층을 LLC, MAC 계층으로 세분화

(1)LLC(Logical Link Control) : 네트워크 계층과의 연결을 담당.

상위 계층으로의 안전하고 정상적인 데이터 전달을 위해 데이터 오류 검출, 상위 프로토콜에 대한 타입 확인

(2)MAC(Media Access Control) : 물리적 계층과의 연결 담당.

신호변환을 통해 물리적 계층과 연결하고, MAC주소를 통해 주소를 확인하여 정상적으로 데이터 송수신을 확인

-데이터 단위 : 프레임(Frame)

-대표적 프로토콜 : Ethernet, TokenRing, FDDI, X.25, FrameRelay

 

-신뢰성 있는 전송을 위한 기능

: 데이터의 안전한 전송을 보장. 데이트 링크 컨트롤

(1) 흐름제어(Flow Control) : 송신노드가 수신노드의 처리속도를 고려하여 이를 초과하지 않도록 전송 제어

수신노드가 수신확인응답을 송신노드에 제공함으로써 흐름제어 수행

• 정지-대기(Stop and Wait) 방식 : 송신측에서 프레임 전송 후 확인응답(ACK) 받을 때 까지 대기
• 슬라이딩 윈도우(Sliding Window) 방식 : 송신측에서 수신측의 ACK를 받기 전에 수신 가능한 범위 내에서 여러 프레임 전송

 

(2) 오류제어(Error Control) : 전송 중에 여러 가지 원인에 의한 오류나 손실 발생 시 해결하기 위한 제어 방식

• 후진 오류 수정방식(BEC, Backward Error Correction) : 송신측에서 데이터 전송 시 오류 검출 가능한 부가정보를 함께 전송하여수신측에서 이를 점검하여 오류 발생 시 재전송 요청하는 방식. (=ARQ(Automatic Repeat Request))
• 전진 오류 수정방식(FEC, Forward Error Corretcion) : 재전송이 불필요한 방식. 송신측에서 데이터 송신 시에 오류의 검출 및 수정까지 가능한 부가정보를 담아서 보내는 방식

 

(3)회선제어(Line Control) : Point-to-Point 또는 다중점(Multipoint) 회선 구성 방식(Line Configuration) 과

단방향(simplex), 반이중(half-duplex) 및 전이중(full-duplex) 등의 전송 방식(Transmission Mode)에

따라 사용되는 전송링크에 대한 제어 규범

• 회선 구성 방식 : 둘 이상의 장치가 하나의 링크에 연결되는 방식

1. 점-대-점 : 두 장치 사이에 전용 링크 사용
2. 다중점 : 셋 이상의 장치가 하나의 링크 공유

• 전송 방식 : 연결된 두 개의 장치 간에 신호 흐름 방향을 정의

1. 단방향 : 한쪽 방향으로만 통신
2. 반이중 : 양쪽 방향 통신 가능. 동시 불가
3. 전이중 : 양쪽 방향 동시 통신 가능

 

-주요 네트워크 장비

(1) L2 Switch(스위치)

: 목적지 MAC 주소의 포트에 연결된 노드에게만 패킷을 전송(Switching Hub)

• Host-A에서 Host-C로 패킷 전송 시 해당 노드로만 전송
• Mac Address Table을 통해 각 포트별 연결 노드의 MAC정보 관리

 

• 스위치에서 특정 포트 모니터링 시 모니터링 포트(스위치를 통과하는 모든 패킷의 내용을 복제해서 전달하는 포트, SPAN 포트) 또는 네트워크 트래픽을 모니터링 할 수 있는 탭(네트워크 상에서 전송되는 패킷을 중단 없이 모니터링 하는 장비, TAP) 장비를 통해 패킷을 복제해서 트래픽 분석 장비로 전달

 

(2) Bridge(브릿지)

: 물리적으로 떨어진 동일한 LAN(ex. Ethernet, TokenRing)을 연결해주는 장비

 

-스위치 환경에서 스니핑

(1) 스위치 재밍(Switch Jamming) / MAC Flooding 공격

:스위치 MAC Address Table의 버퍼를 오버플로우 시켜 스위치가 허브처럼 동작하게 강제적으로 만드는 기법

-스위치는 Fail Safe/Open 정책으로, 장애 발생시 더미 허브처럼 연결된 모든 노드에게 패킷 전송

-MAC Address Table을 오버플로우 시키기 위해 Source MAC 주소를 계속 변경하면서 패킷 지속적으로 전송

 

(2) ARP 스푸핑(Spoofing) 공격

: 공격자가 특정 호스트의 MAC 주소를 자신의 MAC 주소로 위조한 ARP Reply 패킷을 만들어 희생자에게 전송시

희생자의 ARP Cache Table에 특정 호스트의 MAC 정보가 공격자의 MAC 정보로 변경. 이를 이용해

희생자로부터 특정 호스트로 나가는 패킷을 공격자로 향하도록 하여 스니핑

-희생자와 특정 호스트간의 송수신 패킷 모두 스니핑을 위해선 희생자와 특정 호스트 둘다 ARP 스푸핑 수행

-희생자들이 스니핑 인식 못하고, 정상적인 통신이 되도록 IP Forward(라우터처럼 동작하여 자신이 목적지가 아닌 IP 패킷에 대해서는 라우팅 테이블을 참조하여 해당 목적지로 전송)기능 활성화

 

(3) ARP 리다이렉트(Redirect) 공격

: ARP 스푸핑 일종. 공격자가 자신이 라우터/게이트웨이인 것처럼 MAC 주소를 위조하여 ARP Reply 패킷을 대상 네트워크에게

지속적으로 브로드캐스트하면 해당 로컬 네트워크의 모든 호스트의 ARP Cache Table에 라우터/게이트웨이 MAC 정보가

공격자의 MAC 정보로 변경. 이를 이용해 호스트에서 라우터로 나가는 패킷을 공격자가 스니핑

-IP Forward 기능 활성화

 

(4) ICMP 리다이렉트(Redirect) 공격

: ICMP Redirection(호스트-라우터 또는 라우터 간 라우팅 경로 재설정을 위해 전송하는 메시지) 메시지를 악용하여

특정 IP 또는 IP 대역으로 나가는 패킷의 라우팅 경로를 자신의 주소로 위조한 ICMP Redirect 메시지를 생성하여

희생자에게 전송하여 희생자의 라우팅 테이블을 변조하여 패킷 스니핑

-IP Forward 기능 활성화

 

(5) 스위치의 SPAN(Switch Port ANalyzer)/Port Mirroring 기능 이용

: 스위치를 통과하는 모든 트래픽을 볼 수 있는 기능. 특정 포트에 분석 장비를 접속하고

다른 포트의 트래픽을 분석 장비로 자동 복사해주는 기술

 

---

 

*Network Layer(네트워크 계층)

https://uomustansiriyah.edu.iq/media/lectures/5/5_2017_12_14!11_18_51_AM.pdf

: End노드(종단 노드)간의 라우팅을 담당하는 계층. End-To-End Delivery(Host-To-Host Delivery)

-라우팅(Routing) : 라우팅 프로토콜에 의해 목적지로 전송하기 위한 최적의 경로를 설정, 패킷 교환하는 기능 제공

-최종 목적지 노드를 찾기 위핸 노드에 대한 논리적인 주소 필요. TCP/IP 프로토콜에서는 IP 주소가 해당 역할

(1) 논리적인 주소 : 변경이 가능한 주소

(2) 물리적인 주소 : NIC에 고정되어 변경이 불가능 (ex.MAC 주소)

-데이터 단위 : 패킷(Packet)

-대표적 프로토콜 : IP(TCP/IP), IPX(Novel Netware)

 

-주요 네트워크 장비 

(1) 라우터(Router)/L3 Switch

: 라우팅 담당 장비

-데이터 링크 계층의 브로드캐스트와 멀티캐스트를 포워딩 하지 않음

-서로 다른 VLAN 간 통신을 가능하게 하고, 기본적인 보안 기능, QoS 관련 기능 지원

 

---

 

*Transport Layer(전송 계층)

https://www.researchgate.net/figure/reliable-end-to-end-delivery-of-a-message_fig1_336013583

: End 노드간 신뢰성 있는 데이터 전송을 담당. End-To-End Reliable Delivery.

각 End 노드의 해당 Process 간 신뢰성 있는 데이터 전송을 담당(Process-To-Process Communication)

-목적지 노드(프로세스) 찾아가기 위해서는 프로세스 식별하는 논리적인 주소 필요. TCP/IP 프로토콜의 Port Address가 역할 수행

-데이터 단위 : 세그먼트(Segment)

-대표적 프로토콜 : TCP/IP의 TCP, UDP, SCTP, Novel Netware의 SPX

 

-신뢰성 있는 데이터 전송을 보장하기 위한 기능

(1) 분할(Segmentation)과 재조합(Reaseembly)

: 조건에 따라 원본 데이터를 전송 가능한 세그먼트 단위로 분할하여 전송, 목적지에서는 이를 재조합하여 원본 데이터 복원

 

(2) 연결제어(Connection Control)

: 연결지향, 비연결지향 방식 제공

• 연결 지향 : 양 호스트 사이에 데이터 송수신이 이뤄지기 전에 마치 물리적인 연결통로가 설정되어 있는 것처럼 동작 (ex. TCP)
• 비연결지향 : 양 호스트 사이에 연결설정 및 종료과정이 없는 프로토콜 (ex. UDP)

 

(3) 흐름제어(Flow Control)

: 상호간에 수신할 수 있는 만큼만 전송해서 데이터의 손실이 발생하지 않도록 제어.

종단 노드 간의 흐름 수행. (데이터 링크 계층 : 인접한 노드간 흐름제어)

 

(4) 오류제어(Error Control)

: 종단(End) 노드 간 전송 중 오류 발생 시 교정

 

(5) 혼잡제어(Congestion Control)

: 네트워크 혼잡도 계산하여 전송량 제어

 

-주요 네트워크 장비

(1) L4 Switch

: SLB(Server Load Balancing) 제공

-서버 트래픽 부하분산과 Failover(장애 극복, 장애 발생 시 예비 시스템 가동) 기능 제공

 

---

 

*Session Layer(세션 계층)

: Application간 논리적인 연결인 세션의 생성, 관리 및 종료 담당

-데이터 단위 : 데이터(Data)

 

---

 

*Presentation Layer(표현 계층)

: 데이터 표현방식 변환 담당

-인코딩/디코딩, 압축/압축해제, 암호화/복호화

-데이터 단위 : 데이터(Data)

 

---

 

*Application Layer(응용 계층)

: 사용자가 네트워크에 접근할 수 있는 인터페이스 담당

-네트워크 서버/클라이언트 프로그램

-데이터 단위 : 데이터(Data)

 

---

 

*OSI모델 데이터 교환 방식

https://networkhunt.com/understanding-7-layers-osi-model/

-Encapsulation(캡슐화) : 상위 계층의 데이터가 하위 계층의 데이터로 보내질 때 하위 계층 프로토콜이 자신의 기능

수행을 위해 필요한 부가정보(헤더)를 추가하여 새롭게 전송 메시지를 완성하는 것

-Decapsulation(역캡슐화) : 상위계층으로 데이터를 보낼 때 해당 계층의 헤더 정보를 확인한 후 이를

제거하고 상위 계층으로 데이터를 보내는 것

 

-Multiplexing(다중화) : 하나의 기능을 여러 영역에서 동시에 사용하는 기법

ex) 상위계층의 여러 프로토콜들이 하위계층의 하나의 프로토콜을 이용

-Demultiplexing(역다중화) : 공유하는 기능으로부터 개별 영역으로 분할하는 기법

ex) 하위계층의 프로토콜이 여러 상위계층의 프로토콜 중 하나를 식별하여 데이터 전달